خطر فیشینگ همواره در کمین کاربران اینترنت است و اکنون با گذشت مدتزمان طولانی، هنوز قربانیان زیادی را بهدام میاندازد. در این میان، یک روش توانسته همهی فیشینگها را کاملا شکست دهد.
کاربران سرویسهای ایمیل باید به تمام ایمیلهایی حساس باشند که با هدف فیشینگ به آنها ارسال میشوند؛ زیرا اگر نگرشی جدیتر به اینگونه ایمیلها داشته باشیم، این احتمال کمتر میشود که فریب آنها را بخوریم و با دعوت این ایمیلها، اطلاعات کاربری خود را دراختیارشان بگذاریم. درادامه خواهیم دید که داشتن نگرشی منفی به تمام ایمیلها، چگونه احتمال بهدامافتادن کاربران را کاهش میدهد.
در جلسهای توجیهی در کنفرانس امنیتی Black Hat در لاسوگاس، الی بورزتین، محقق امنیتی گوگل و دانیلا الیویرا، استاد امنیت دانشگاه فلوریدا، دربارهی این نوع نگرش و سایر مسائل کلاهبرداری ازطریق فیشینگایمیل و فریب کاربران بهمنظور دستیابی به اطلاعات آنان گفتوگو کردند.
الی بورزتین در همین نشست بیان داشت:
ممکن است فکر کنید ایمیلفیشینگ بسیار تصادفی و بدون قاعده انجام میشود؛ اما باید گفت در عملیات فیشینگ، طعمهها انتخاب میشوند.
گوگل روزانه تقریبا صدمیلیون ایمیلفیشینگ را مسدود میکند که غالبا در سه دسته قرار میگیرند:
۱. «فیشینگهای نیزهای» که بسیار هدفمند هستند. این فیشینگها افراد خاصی را هدف قرار میدهند؛ بنابراین، تعداد آنها کم است؛
۲. «فیشینگهای بوتیک» که فقط دهها نفر را هدف قرار میدهد؛
۳. «فیشینگهای انبوه خودکار» که صدها یا هزاران نفر را هدف قرار میدهد.
البته، مدتزمان انجام عملیات برای هریک از فیشینگهای یادشده متفاوت است. بهگفتهی گوگل، معمولا بوتیکفیشینگها بهطور میانگین حدود ۷ دقیقه و فیشینگهای انبوهِ خودکار هم حدودا ۱۳ ساعت زمان میبرد. گوگل اضافه میکند اکثر کمپینهای فیشینگ خدمات ارائهشدهی سرویس تجاری ایمیل (Commercial Mail Service) را هدف قرار میدهند. همچنین، برای این کمپینها ایمیلهای شرکتها طعمههای بهتری هستند؛ بنابراین، تعداد ایمیلهای فیشینگ که به ایمیل شرکتها ارسال میشود، ۴.۸ برابر بیشتر از سایر ایمیلها است.
درمجموع، سرویسهای ایمیل، سرویسهای ابری، مؤسسههای مالی، فروشگاههای مجازی و خدمات ارسال و تحویل محموله با ۴۲، ۲۵، ۱۳، ۵ و ۳ درصد سهم بهترتیب از بزرگترین قربانیان فیشینگها هستند. بورزتین خاطرنشان کرد:
گوگل هنوز نتوانسته بسیاری از ایمیلهای فیشینگ را شناسایی کند و این امر با درنظرگرفتن حجم بسیار زیاد اطلاعات منطقی بهنظر میآید. به همین دلیل، جیمیل سعی میکند علامتی نارنجیرنگ به مفهوم هشدار در بالای ایمیلهای مشکوک ثبت کند؛ اما این ایمیلها الزاما حملات فیشینگ نیستند.
شما هم در فیشینگ نقش دارید
در این نشست، به عواملی انسانیای اشاره شد که سبب میشوند راه برای فیشینگ هموارتر شود. الیویرا دربارهی این عوامل میگوید:
زمانیکه خوشحالیم، طبیعتا دید مثبتی داریم و توانایی ما برای تشخیص فریب کاهش مییابد.
وی همچنین تصریح کرد افزایش سطح هورمونهایی که سبب شادی افراد میشوند، ازجمله تستوسترون، استروژن، اوکسیتوسین، سروتونین و دوپامین، خطرپذیری افراد را افزایش میدهند؛ اما افزایش سطح کورتیزول، هورمون استرس، سبب میشود محتاطانهتر رفتار کنیم.
الیویرا سه تاکتیک متداول برای ترغیب کاربران به کلیک روی ایمیلهای فیشینگ را تشریح کرد:
۱. درخواستهای مقام مافوق (واقعا کسی میتواند ایمیل ضروری رئیس خود را نادیده بگیرد؟)؛
۲. ایمیلهایی که بازکردن آنها پیشنهاد دریافت سود مالی را بههمراه دارد یا نادیدهگرفتن آنان حاوی هشداری مبنیبر ضرر مالی است؛
۳. ایمیلهایی که احساسات دریافتکننده را تحتتأثیر قرار میدهند؛ مثلا بهنظر شما ایمیلی که دربارهی کودکان باشد، عواطف انسانها را متأثر نمیکند؟
توصیهی الیویرا و بورزتین به کاربران ایمیل
حتما فکر میکنید توصیهی آنان به کاربران ایمیل خواندن وبسایتهایی است که اطلاعاتی دربارهی فیشینگ ارائه میکنند؛ اما اینطور نیست؛ بلکه توصیهی آنان به کاربران استفاده از «تأیید هویت دومرحلهای» است. آنها ضمن تأکید بر این مسئله افزودند نباید از هر نوع «تأیید هویت دومرحلهای» استفاده کرد.
براساس تحقیقات پیشین گوگل، استفاده از پیامک رایجترین روش تأیید هویت دومرحلهای است که برای جلوگیری از فیشینگهای انبوه مناسب است؛ اما استفاده از این روش در تأیید هویت دومرحلهای، هنگام رویارویی با فیشینگهای هدفمند چندان موفقیتآمیز نبوده است؛ مثلا در این تحقیقات، مشخص شد این روش در مقابله با ۹۶ درصد از فیشینگهای بوتیک و ۷۶ درصد از فیشینگهای نیزهای موفق بوده است.
صفحات فیشینگ پیشرفته از قربانیان خود میخواهند کدی را وارد کنند که به آنان پیامک شده است و سپس، از این کد اعتباری پیش از منقضیشدن در تأیید هویت دومرحلهای استفاده میکنند. البته، در حملاتی دیگر نظیر حملات تعویض سیمکارت (SIM swapping)، شکست این سپر حفاظتی امکانپذیر میشود. در این حملات، هکرها از سیمکارتی دیگر در گوشی هوشمند دیگری استفاده میکنند و گوشی را فریب میدهند؛ بدینترتیب که گویا در حال فعالسازی سیمکارت خود در گوشی هوشمند جدید هستید تا اطلاعات شما را بهسرقت ببرند.
امکاناتی که در گوشیهای هوشمند وجود دارند و میتوانند اقداماتی درمقابل فیشینگ انجام دهند، نظیر برنامهی تأیید اعتبار گوگل، بسیار قدرتمندتر هستند و ۹۹ درصد فیشینگهای بوتیک و ۹۰ درصد فیشنگهای نیزهای را مسدود میکنند. بااینحال، بیشترین محافظت ازطریق توکنهای امنیتی USB تأمین میشود که در آزمایشهای گوگل موفق شد تمام فیشینگها را بهطور کامل شکست دهد. این توکنها، نظیر سری محبوب Yubico، باید با رمزنگاری سایت اصلی تطبیق داشته باشد؛ بنابراین، هیچ سایت دیگری حتی اگر بسیار شبیه به سایت اصلی باشد، این سیلیکانهای تکبعدینگر را نمیتواند بفریبد.
توکنهای USB را بسیاری از سایتها پشتیبانی نمیکنند. برای مثال، در مرورگر اپل سافاری هم تا اواخر امسال که بهروزرسانی macOS Catalina از راه خواهد رسید، از پشتیبانی این توکنها خبری نخواهد بود. قیمت این توکنها بیش از ۲۰ دلار خواهد بود. الیویرا و بورزتین تعدادی از این توکنها را برای ارائه به حضار با خود به نشست Black Hat لاسوگاس آوردهاند؛ اما همه باید این توکنها را تهیه کنند تا سطح امنیت خود را ارتقا بخشند.
شما دربارهی حملات مختلف فیشینگ و راههای مقابله با آنها چه فکر میکنید؟ لطفا دیدگاههای خود را دربارهی روشهای حفاظت از امنیت خود دربرابر فیشینگ با ما در میان بگذارید.